Des chercheurs en cybersécurité ont développé ce qui est le premier mineur de crypto-monnaie basé sur le cloud et totalement indétectable, exploitant le système Microsoft. Automatisation Azure service sans accumuler de frais.
La société de cybersécurité SafeBreach a déclaré avoir découvert trois méthodes différentes pour exécuter le mineur, dont une qui peut être exécutée dans l’environnement d’une victime sans attirer aucune attention.
« Bien que cette recherche soit importante en raison de son impact potentiel sur l’extraction de cryptomonnaie, nous pensons également qu’elle a de sérieuses implications dans d’autres domaines, car les techniques pourraient être utilisées pour accomplir toute tâche nécessitant l’exécution de code sur Azure », a déclaré le chercheur en sécurité Ariel Gamrian. dit dans un rapport partagé avec The Hacker News.
L’étude visait principalement à identifier un « mineur de crypto ultime » offrant un accès illimité aux ressources informatiques, tout en nécessitant peu ou pas de maintenance, gratuit et indétectable.
C’est là qu’Azure Automation entre en jeu. Développé par Microsoft, il s’agit d’un service d’automatisation basé sur le cloud qui permet aux utilisateurs d’automatiser la création, le déploiement, la surveillance et la maintenance des ressources dans Azure.
SafeBreach a déclaré avoir trouvé un bug dans le Calculateur de prix Azure qui permettait d’exécuter un nombre infini de tâches de manière totalement gratuite, bien que cela concerne l’environnement lui-même de l’attaquant. Microsoft a depuis publié un correctif pour le problème.
Une méthode alternative consiste à créer une tâche de test pour le minage, puis à définir son statut sur « Échec », puis à créer une autre tâche de test factice en tirant parti du fait qu’un seul test peut s’exécuter en même temps.
Le résultat final de ce flux est qu’il masque complètement l’exécution du code dans l’environnement Azure.
Un acteur malveillant pourrait exploiter ces méthodes en établissant un shell inversé vers un serveur externe et en s’authentifiant auprès du point de terminaison Automation pour atteindre ses objectifs.
En outre, il a été constaté que l’exécution de code pouvait être réalisée en tirant parti de la fonctionnalité d’Azure Automation qui permet aux utilisateurs de télécharger des packages Python personnalisés.
« Nous pourrions créer un package malveillant nommé ‘pip’ et le télécharger sur le compte Automation », a expliqué Gamrian.
« Le flux de téléchargement remplacerait le pip actuel dans le compte Automation. Une fois notre pip personnalisé enregistré dans le compte Automation, le service l’utilisait à chaque fois qu’un package était téléchargé. »
SafeBreach a également mis à disposition une preuve de concept baptisée Mineur de pièces conçu pour obtenir une puissance de calcul gratuite au sein du service Azure Automation en utilisant le mécanisme de téléchargement de package Python.
Microsoft, en réponse aux divulgations, a qualifié le comportement de « par conception », ce qui signifie que la méthode peut toujours être exploitée sans être facturée.
Bien que la portée de la recherche soit limitée à l’utilisation abusive d’Azure Automation pour l’extraction de crypto-monnaie, la société de cybersécurité a averti que les mêmes techniques pourraient être réutilisées par les acteurs malveillants pour accomplir toute tâche nécessitant l’exécution de code sur Azure.
« En tant que clients fournisseurs de cloud, les organisations individuelles doivent surveiller de manière proactive chaque ressource et chaque action effectuée au sein de leur environnement », a déclaré Gamrian.
« Nous recommandons vivement aux organisations de se renseigner sur les méthodes et les flux que les acteurs malveillants peuvent utiliser pour créer des ressources indétectables et de surveiller de manière proactive l’exécution de code révélateur d’un tel comportement. »